Autorità di certificazione privata di AWS Certificate Manager - Guida per l'utente Version latest - Guida ...
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
Autorità di certificazione privata
di AWS Certificate Manager
Guida per l'utente
Version latestAutorità di certificazione privata di AWS
Certificate Manager Guida per l'utente
Autorità di certificazione privata di AWS Certificate Manager: Guida per
l'utente
Copyright © 2019 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's,
in any manner that is likely to cause confusion among customers, or in any manner that disparages or discredits
Amazon. All other trademarks not owned by Amazon are the property of their respective owners, who may or may not
be affiliated with, connected to, or sponsored by Amazon.Autorità di certificazione privata di AWS
Certificate Manager Guida per l'utente
Table of Contents
Che cos'è ACM PCA? ......................................................................................................................... 1
Concetti ..................................................................................................................................... 2
Autorità di certificazione ....................................................................................................... 3
Certificato dell'autorità di certificazione ................................................................................... 3
Firma del certificato ............................................................................................................ 4
Certificato privato ................................................................................................................ 4
Crittografia delle chiavi asimmetrica ....................................................................................... 5
Domain Name System ........................................................................................................ 5
Nomi di dominio ................................................................................................................. 5
Nome di dominio completo (FQDN) ....................................................................................... 6
Infrastruttura a chiave pubblica ............................................................................................. 6
Certificato root ................................................................................................................... 6
Secure Sockets Layer (SSL) ................................................................................................ 7
HTTPS sicuro .................................................................................................................... 7
Certificati del server SSL ..................................................................................................... 7
Transport Layer Security (TLS) ............................................................................................. 7
Attendibilità ........................................................................................................................ 7
Nome distinto X.500 ........................................................................................................... 7
Regioni ..................................................................................................................................... 8
Servizi integrati .......................................................................................................................... 8
Limiti di ..................................................................................................................................... 8
Limiti per i certificati ............................................................................................................ 8
Limite frequenza API ........................................................................................................... 9
Sicurezza .................................................................................................................................. 9
Best Practice ............................................................................................................................ 10
Attivare AWS CloudTrail .................................................................................................... 10
Aggiornamento della chiave privata CA ................................................................................ 10
Eliminazione di una CA ..................................................................................................... 10
Parametri CloudWatch ............................................................................................................... 11
Prezzi ...................................................................................................................................... 11
Configurazione ................................................................................................................................. 12
Installazione di CLI (Opzionale) ................................................................................................... 12
Creazione di un amministratore ................................................................................................... 12
Registrazione ad AWS ....................................................................................................... 13
Creazione di un amministratore ........................................................................................... 13
Creazione di una policy gestita dal cliente ............................................................................ 14
Configurazione di una CA .......................................................................................................... 15
Nozioni di base ................................................................................................................................ 16
Fase 1: creazione di una CA privata ............................................................................................ 16
Fase 2: ottenimento di una CSR ................................................................................................. 19
Recupero di una CSR (Console): metodo 1 .......................................................................... 20
Recupero di una CSR (Console): metodo 2 .......................................................................... 20
Recupero di una CSR (AWS CLI) ....................................................................................... 20
Fase 3: firma del certificato CA ................................................................................................... 21
Fase 4: importazione del certificato CA ........................................................................................ 22
Importazione del certificato CA privato (console) .................................................................... 23
Importazione del certificato CA privato (AWS CLI) .................................................................. 23
Utilizzo della CA privata ..................................................................................................................... 25
Crea un CRL ........................................................................................................................... 25
Creazione del CRL durante la creazione di una CA ................................................................ 26
Aggiornamento di una configurazione CRL (Console) ............................................................. 26
Aggiornamento di una configurazione CRL (AWS CLI) ............................................................ 27
Emissione di un certificato .......................................................................................................... 27
Creazione di una richiesta di firma del certificato (CSR) .......................................................... 28
Version latest
iiiAutorità di certificazione privata di AWS
Certificate Manager Guida per l'utente
Emissione di un certificato (AWS CLI) .................................................................................. 28
Revoca di un certificato ............................................................................................................. 29
Certificati revocati in un CRL .............................................................................................. 29
Certificati revocati in unreport di audit .................................................................................. 30
Utilizzo della AWS CLI per revocare un certificato .................................................................. 30
Recupero di un certificato .......................................................................................................... 30
Recupero di un certificato CA ..................................................................................................... 31
Aggiornamento di una CA .......................................................................................................... 32
Eliminazione di una CA ............................................................................................................. 33
Ripristino di una CA .................................................................................................................. 35
Ripristino di una CA privata (console) .................................................................................. 35
Ripristino di una CA privata (AWS CLI) ................................................................................ 35
Creazione di un report di audit .................................................................................................... 36
Aggiunta di tag ......................................................................................................................... 38
Utilizzo di CloudTrail ......................................................................................................................... 40
Creazione di una CA ................................................................................................................. 40
Creazione di un report di audit .................................................................................................... 41
Eliminazione di una CA ............................................................................................................. 42
Ripristino di una CA .................................................................................................................. 42
Descrizione di una CA ............................................................................................................... 43
Recupero di un certificato CA ..................................................................................................... 43
Recupero della CSR di una CA .................................................................................................. 44
Recupero di un certificato .......................................................................................................... 44
Importazione di un certificato CA ................................................................................................. 45
Emissione di un certificato .......................................................................................................... 46
Elenco delle CA ........................................................................................................................ 47
Elenco tag ............................................................................................................................... 47
Revoca di un certificato ............................................................................................................. 48
Tagging di PCA ........................................................................................................................ 48
Aggiornamento di una CA .......................................................................................................... 49
Rimozione tag .......................................................................................................................... 50
Uso dell'API ACM PCA ...................................................................................................................... 51
CreateCertificateAuthority ........................................................................................................... 51
CreateCertificateAuthorityAuditReport ........................................................................................... 53
DeleteCertificateAuthority ........................................................................................................... 55
DescribeCertificateAuthority ........................................................................................................ 57
DescribeCertificateAuthorityAuditReport ........................................................................................ 58
GetCertificate ........................................................................................................................... 60
GetCertificateAuthorityCertificate ................................................................................................. 61
GetCertificateAuthorityCsr ........................................................................................................... 63
ImportCertificateAuthorityCertificate .............................................................................................. 64
IssueCertificate ......................................................................................................................... 66
ListCertificateAuthorities ............................................................................................................. 68
ListTags ................................................................................................................................... 71
RestoreCertificateAuthority ......................................................................................................... 73
RevokeCertificate ...................................................................................................................... 74
TagCertificateAuthority ............................................................................................................... 76
UntagCertificateAuthority ............................................................................................................ 77
UpdateCertificateAuthority .......................................................................................................... 79
Risoluzione dei problemi .................................................................................................................... 81
Firma di una CSR ..................................................................................................................... 81
Autenticazione e accesso ................................................................................................................... 82
Gestione degli accessi ............................................................................................................... 82
Risorse e operazioni ACM PCA .......................................................................................... 82
Autenticazione .................................................................................................................. 83
Informazioni sulla proprietà delle risorse ............................................................................... 84
Gestione dell'accesso alle CA private ................................................................................... 84
Version latest
ivAutorità di certificazione privata di AWS
Certificate Manager Guida per l'utente
Policy gestite dal cliente ............................................................................................................ 84
Policy inline .............................................................................................................................. 84
Elenco delle CA private ..................................................................................................... 85
Recupero di un certificato CA privato ................................................................................... 85
Importazione di un certificato CA privato .............................................................................. 85
Eliminazione di una CA privata ........................................................................................... 85
Accesso in sola lettura ad ACM PCA ................................................................................... 86
Accesso completo ad ACM PCA ......................................................................................... 86
Accesso amministratore a tutte le risorse AWS ...................................................................... 86
Autorizzazioni API ..................................................................................................................... 87
Cronologia dei documenti ................................................................................................................... 89
Version latest
vAutorità di certificazione privata di AWS
Certificate Manager Guida per l'utente
Che cos'è ACM PCA?
AWS Certificate Manager Private Certificate Authority è un servizio gestito per le CA private che consente
di gestire in modo semplice e sicuro l'infrastruttura della tua autorità di certificazione e i certificati privati.
ACM PCA fornisce un servizio CA privato ad alta disponibilità senza i costi di investimento e manutenzione
della tua autorità di certificazione. ACM PCA amplia la gestione dei certificati ACM ai certificati privati,
consentendoti di gestire i certificati pubblici e privati in un'unica console.
I certificati privati identificano le risorse all'interno di un'organizzazione. Alcuni esempi sono i client, i server,
le applicazioni, i servizi, i dispositivi e gli utenti. Stabilendo un canale di comunicazione crittografato e
sicuro, ogni endpoint di risorsa utilizza un certificato e le tecniche crittografiche necessarie per provare
la propria identità a un altro endpoint. Gli endpoint API interni, i server Web, gli utenti VPN, i dispositivi
IoT e molte altre applicazioni utilizzano i certificati privati per stabilire canali di comunicazione crittografati
necessari per un funzionamento sicuro. Per ulteriori informazioni, consulta Concetti (p. 2).
Sia i certificati pubblici che quelli privati aiutano i clienti a identificare le risorse sulle reti e a proteggere la
comunicazione tra tali risorse. I certificati pubblici identificano le risorse sulla rete Internet pubblica, mentre
quelli privati lo fanno per le reti private. Una differenza fondamentale tra i due è che le applicazioni e i
browser considerano attendibili i certificati pubblici per impostazione predefinita, mentre un amministratore
deve configurare in modo esplicito le applicazioni affinché considerino attendibili i certificati privati. Le
CA pubbliche, ossia le entità che emettono i certificati pubblici, devono seguire regole severe, fornire
visibilità operativa e soddisfare gli standard di sicurezza imposti dal browser e dai fornitori dei sistemi
operativi. Le CA private sono gestite da organizzazioni private e gli amministratori delle CA private possono
creare regole personalizzate per emettere certificati privati. Queste includono le regole per l'emissione dei
certificati e le informazioni che un certificato può includere.
Per iniziare a usare ACM PCA, è necessario disporre di una CA intermedia o root disponibile per
l'organizzazione. Può trattarsi di una CA locale o nel cloud oppure di una CA disponibile in commercio.–
Creare la CA privata, quindi utilizzare la CA dell'organizzazione per creare e firmare il certificato CA privato.
Quando il certificato è firmato, importalo di nuovo in ACM PCA. Per ulteriori informazioni sulle operazioni
necessarie per creare una CA privata, consulta Nozioni di base (p. 16).
Una volta che si dispone di una CA privata, è possibile eseguire le operazioni descritte di seguito:
• Emissione di certificati privati (p. 27)
• Creazione di un elenco di revoche di certificati (CRL) (p. 25)
• Revoca dei certificati emessi (p. 29)
• Recupero dei certificati emessi o revocati (p. 30)
• Creazione di report di audit contenenti informazioni sull'emissione e sulla revoca (p. 36)
• Modifica dello stato della CA privata (p. 32)
• Aggiunta di tag alla CA privata (p. 38)
• Eliminazione di una CA privata (p. 33)
• Ripristino della CA privata (p. 35)
Il motivo principale per creare una CA privata è, naturalmente, l'emissione di certificati privati. Puoi
utilizzare ACM PCA per farlo oppure puoi utilizzare AWS Certificate Manager (ACM). ACM PCA è
strettamente integrato con ACM. Ogni servizio offre vantaggi esclusivi.
Il servizio AWS Certificate Manager:
Version latest
1Autorità di certificazione privata di AWS
Certificate Manager Guida per l'utente
Concetti
• Fornisce una console da utilizzare per richiedere e gestire i certificati privati.
• Gestisce le chiavi private associate ai certificati.
• Rinnova i certificati privati gestiti da ACM.
• Consente di esportare i certificati privati per utilizzarli ovunque.
• Consente di distribuire i certificati con altri servizi AWS integrati.
ACM PCA consente di:
• Creare un certificato con qualsiasi nome di oggetto per identificare quanto richiesto.
• Utilizzare qualsiasi algoritmo di chiave privata e lunghezza di chiave supportati.
• Utilizzare qualsiasi algoritmo di firma supportato.
• Evitare le limitazioni imposte ai certificati pubblici e alle CA.
Argomenti
• Concetti (p. 2)
• Regioni (p. 8)
• Servizi integrati con AWS Certificate Manager Private Certificate Authority (p. 8)
• Limiti di (p. 8)
• Sicurezza dell'autorità di certificazione privata (p. 9)
• Best Practice (p. 10)
• Parametri CloudWatch supportati (p. 11)
• Prezzi (p. 11)
Concetti
In questo argomento vengono illustrati termini e condizioni relativi a AWS Certificate Manager Private
Certificate Authority (ACM PCA).
Argomenti
• Autorità di certificazione (p. 3)
• Certificato dell'autorità di certificazione (p. 3)
• Firma del certificato (p. 4)
• Certificato privato (p. 4)
• Crittografia delle chiavi asimmetrica (p. 5)
• Domain Name System (p. 5)
• Nomi di dominio (p. 5)
• Nome di dominio completo (FQDN) (p. 6)
• Infrastruttura a chiave pubblica (p. 6)
• Certificato root (p. 6)
• Secure Sockets Layer (SSL) (p. 7)
• HTTPS sicuro (p. 7)
• Certificati del server SSL (p. 7)
• Transport Layer Security (TLS) (p. 7)
• Attendibilità (p. 7)
Version latest
2Autorità di certificazione privata di AWS
Certificate Manager Guida per l'utente
Autorità di certificazione
• Nome distinto X.500 (p. 7)
Autorità di certificazione
Un'autorità di certificazione (CA) emette e, se necessario, revoca i certificati digitali. Il tipo più comune
di certificato si basa sullo standard ISO X.509. Un certificato X.509 conferma l'identità dell'oggetto del
certificato e associa tale identità a una chiave pubblica. L'oggetto può essere un utente, un'applicazione,
un computer o un altro dispositivo. La CA firma il certificato sottoponendo ad hashing i contenuti e
crittografando l'hash con la chiave privata correlata alla chiave pubblica nel certificato. Un'applicazione
client, ad esempio un browser Web che deve confermare l'identità di un oggetto, utilizza la chiave pubblica
per decrittografare la firma del certificato. Esegue quindi l'hashing dei contenuti del certificato e confronta
il valore sottoposto ad hashing con la firma decrittografata per stabilire se corrispondono. Per informazioni
sulle coppie di chiavi, consulta Crittografia delle chiavi asimmetrica (p. 5). Per informazioni sulla firma
dei certificati, consulta Firma del certificato (p. 4).
È possibile utilizzare ACM PCA per creare una CA privata e utilizzarla per l'emissione di certificati. La
CA privata emette solo certificati SSL/TLS privati da utilizzare all'interno dell'organizzazione. Per ulteriori
informazioni, consulta Certificato privato (p. 4). Anche la CA privata richiede un certificato prima che sia
possibile utilizzarla. Per ulteriori informazioni, consulta Certificato dell'autorità di certificazione (p. 3).
Certificato dell'autorità di certificazione
Un certificato di un'autorità di certificazione (CA) conferma l'identità della CA e la associa alla chiave
pubblica contenuta nel certificato. L'esempio seguente mostra i campi tipici presenti in un certificato CA
X.509 ACM PCA. Si noti che per un certificato CA il valore CA: del campo Basic Constraints è
impostato su TRUE.
Quando utilizzi ACM PCA per creare una CA privata, ACM PCA crea una richiesta di firma del certificato
(CSR). Per creare un certificato CA firmato, devi portare la richiesta CSR all'infrastruttura a chiave
pubblica (p. 6) (PKI) locale. Importare il certificato CA in ACM PCA. La CA privata sarà subordinata alla
CA utilizzata per firmarla.
Certificate:
Data:
Version: 3 (0x2)
Serial Number: 4121 (0x1019)
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, ST=Washington, L=Seattle, O=Example Company Root CA, OU=Corp,
CN=www.example.com/emailAddress=corp@www.example.com
Validity
Not Before: Feb 26 20:27:56 2018 GMT
Not After : Feb 24 20:27:56 2028 GMT
Subject: C=US, ST=WA, L=Seattle, O=Examples Company Subordinate CA, OU=Corporate
Office, CN=www.example.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00:c0: ... a3:4a:51
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Subject Key Identifier:
F8:84:EE:37:21:F2:5E:0B:6C:40:C2:9D:C6:FE:7E:49:53:67:34:D9
X509v3 Authority Key Identifier:
keyid:0D:CE:76:F2:E3:3B:93:2D:36:05:41:41:16:36:C8:82:BC:CB:F8:A0
X509v3 Basic Constraints: critical
CA:TRUE
X509v3 Key Usage: critical
Version latest
3Autorità di certificazione privata di AWS
Certificate Manager Guida per l'utente
Firma del certificato
Digital Signature, CRL Sign
Signature Algorithm: sha256WithRSAEncryption
6:bb:94: ... 80:d8
Firma del certificato
Una firma digitale è un hash crittografato su un certificato. Una firma viene utilizzata per confermare
l'integrità dei dati del certificato. La CA privata crea una firma utilizzando una funzione di hashing, ad
esempio SHA256, sul contenuto del certificato di dimensioni variabili per produrre una stringa di dati di
dimensioni fisse non modificabile. I dati fissi sono chiamati hash. La CA effettua la crittografia del valore
hash con la propria chiave privata e concatena gli hash crittografati con il certificato.
Per convalidare un certificato firmato, un'applicazione client utilizza la chiave pubblica CA per
decrittografare la firma. Il client usa quindi lo stesso algoritmo di firma utilizzato dalla CA per calcolare un
hash sul resto del certificato. Si noti che l'algoritmo di firma utilizzato dalla CA è elencato nel certificato. Se
il valore hash calcolato è lo stesso del valore hash decrittografato, il certificato non è stato manomesso.
Certificato privato
I certificati ACM PCA sono certificati SSL/TLS privati che è possibile utilizzare all'interno della propria
organizzazione. Utilizzarli per identificare le risorse, ad esempio client, server, applicazioni, servizi,
dispositivi e utenti. Quando si stabilisce un canale di comunicazione crittografato sicuro, ogni risorsa
utilizza un certificato come il seguente e le tecniche crittografiche necessarie per provare la propria identità
a un'altra risorsa. Gli endpoint API interni, i server Web, gli utenti VPN, i dispositivi IoT e molte altre
applicazioni utilizzano i certificati privati per stabilire canali di comunicazione crittografati necessari per un
funzionamento sicuro. Per impostazione predefinita, i certificati privati non sono pubblicamente attendibili.
Un amministratore interno deve configurare esplicitamente le applicazioni affinché considerino attendibili i
certificati privati e deve distribuire i certificati.
Certificate:
Data:
Version: 3 (0x2)
Serial Number:
e8:cb:d2:be:db:12:23:29:f9:77:06:bc:fe:c9:90:f8
Signature Algorithm: sha256WithRSAEncryption
Issuer: C=US, ST=WA, L=Seattle, O=Example Company CA, OU=Corporate,
CN=www.example.com
Validity
Not Before: Feb 26 18:39:57 2018 GMT
Not After : Feb 26 19:39:57 2019 GMT
Subject: C=US, ST=Washington, L=Seattle, O=Example Company, OU=Sales,
CN=www.example.com/emailAddress=sales@example.com
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
Public-Key: (2048 bit)
Modulus:
00...c7
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
X509v3 Authority Key Identifier:
keyid:AA:6E:C1:8A:EC:2F:8F:21:BC:BE:80:3D:C5:65:93:79:99:E7:71:65
X509v3 Subject Key Identifier:
C6:6B:3C:6F:0A:49:9E:CC:4B:80:B2:8A:AB:81:22:AB:89:A8:DA:19
X509v3 Key Usage: critical
Digital Signature, Key Encipherment
X509v3 Extended Key Usage:
TLS Web Server Authentication, TLS Web Client Authentication
Version latest
4Autorità di certificazione privata di AWS
Certificate Manager Guida per l'utente
Crittografia delle chiavi asimmetrica
X509v3 CRL Distribution Points:
Full Name:
URI:http://NA/crl/12345678-1234-1234-1234-123456789012.crl
Signature Algorithm: sha256WithRSAEncryption
58:32:...:53
Crittografia delle chiavi asimmetrica
La crittografia asimmetrica utilizza chiavi differenti ma matematicamente correlate per crittografare e
decrittografare i contenuti. Una delle chiavi è pubblica ed è disponibile in un certificato X.509 v3. L'altra
chiave è privata e archiviata in modo sicuro. Il certificato X.509 associa l'identità di un utente, un computer
o altre risorse (l'oggetto del certificato) alla chiave pubblica.
I certificati CA privati e i certificati emessi da una CA privata sono certificati SSL/TLS X.509. Essi associano
l'identità di un utente, servizio, applicazione, computer o altri dispositivi con la chiave pubblica incorporata
nel certificato. La chiave privata associata è archiviata in modo sicuro in AWS CloudHSM.
Domain Name System
Il DNS (Domain Name System) è un sistema di denominazione di distribuzione gerarchica per computer e
altre risorse connesse a Internet o a una rete privata. Il DNS viene utilizzato principalmente per convertire
nomi di dominio in formato testo, ad esempio aws.amazon.com, in indirizzi IP (protocollo Internet)
numerici nel formato 111.222.333.444.
Nomi di dominio
Un nome di dominio è una stringa di testo come www.example.com che il DNS (Domain Name System)
può convertire in un indirizzo IP. Le reti di computer, inclusa Internet, utilizzano gli indirizzi IP anziché i nomi
di testo. Un nome di dominio è composto da etichette distinte separate da punti.
TLD
L'etichetta più a destra viene denominata dominio di primo livello (TLD). Esempi comuni comprendono
.com, .net e .edu. Inoltre, il TLD per le entità registrate in alcuni paesi è l'abbreviazione del nome del
paese e viene denominato codice paese. Esempi includono .uk per il Regno Unito, .ru per la Russia e
.fr per la Francia. Quando si utilizzano i codici paese, viene spesso introdotta per il TLD una gerarchia di
secondo livello per identificare il tipo di entità registrata. Ad esempio, il TLD .co.uk identifica le imprese
commerciali del Regno Unito.
Dominio apex
Il nome di dominio apex include e si espande nel dominio di primo livello. Per i nomi di dominio che
includono un codice paese, il dominio apex include il codice e le etichette, se presenti, che identificano
il tipo di entità registrata. Il dominio apex non include sottodomini (vedere il paragrafo seguente). In
www.example.com, il nome del dominio apex è example.com. In www.example.co.uk, il nome del
dominio apex è example.co.uk. Altri nomi che sono spesso utilizzati al posto di apex includono base,
bare, root, root apex o apex di zona.
Sottodominio
I nomi di sottodominio precedono il nome di dominio apex e sono separati da esso e tra di loro da un
punto. Il nome di sottodominio più comune è www, ma è possibile usare qualsiasi nome. Inoltre, i nomi di
sottodominio possono avere più livelli. Ad esempio, in jake.dog.animals.example.com, i sottodomini
sono jake, dog e animals in questo ordine.
FQDN
Version latest
5Autorità di certificazione privata di AWS
Certificate Manager Guida per l'utente
Nome di dominio completo (FQDN)
Un nome di dominio completo (FQDN) è il nome DNS completo di un computer, sito Web o altre risorse
connessi a una rete o a Internet. Ad esempio aws.amazon.com è il nome di dominio completo (FQDN)
per Amazon Web Services. Un FQDN include tutti i domini fino al dominio di primo livello. Ad esempio,
[subdomain1].[subdomain2]...[subdomainn].[apex domain].[top–level domain]
rappresenta il formato generale di un nome di dominio completo (FQDN).
PQDN
Un nome di dominio non completo si definisce nome di dominio parzialmente qualificato (PQDN) ed è
ambiguo. Un nome come [subdomain1.subdomain2.] è un nome di dominio parzialmente qualificato
(PQDN) poiché non è possibile determinare il dominio root.
Registration (Registrazione)
Il diritto di utilizzare un nome di dominio è delegato ai registrar dei nomi di dominio. I registrar sono in
genere accreditati dalla ICANN (Internet Corporation for Assigned Names and Numbers). Inoltre, altre
organizzazioni denominate registri gestiscono i database TLD. Quando si richiede un nome di dominio, il
registrar invia le informazioni al registro TLD appropriato. Il registro assegna un nome di dominio, aggiorna
il database TLD e pubblica le informazioni su WHOIS. Di solito, i nomi di dominio devono essere acquistati.
Nome di dominio completo (FQDN)
Per informazioni, consulta Nomi di dominio (p. 5).
Infrastruttura a chiave pubblica
Un'infrastruttura a chiave pubblica (PKI) è un sistema completo che consente la creazione, l'emissione, la
gestione, la distribuzione, l'utilizzo, l'archiviazione e la revoca di certificati digitali. Una PKI è composta da
persone, hardware, software, policy, documenti e procedure. In ACM PCA, lo scopo di una PKI è di gestire
certificati privati. ACM PCA implementa quanto segue:
Certificati a chiave pubblica
La CA privata emette i certificati per confermare le identità degli utenti, servizi, applicazioni, computer e altri
dispositivi all'interno dell'organizzazione. Per ulteriori informazioni, consulta Certificato privato (p. 4).
Archivio dei certificati
La CA privata archivia tutti i certificati emessi. È possibile naturalmente eliminare un certificato dall'archivio
ACM PCA.
Revoche di certificati
ACM PCA supporta la revoca dei certificati. I certificati che non possono più essere considerati attendibili
devono essere revocati dall'autorità di certificazione. Un certificato può essere revocato prima della fine del
periodo di validità per una serie di motivi. I motivi più comuni includono il danneggiamento della chiave, la
fine delle operazioni, una modifica di affiliazione o la revoca di un privilegio. Quando si crea una CA privata,
è necessario specificare se si desidera che la CA supporti la revoca dei certificati. Se la CA supporta la
revoca, è possibile richiedere un report di audit per esaminare i certificati revocati.
Storage delle chiavi
Le chiavi private CA sono bloccate in modo sicuro in un modulo di sicurezza hardware (HSM) di proprietà e
gestito da Amazon.
Certificato root
Un'autorità di certificazione (CA) esiste in genere all'interno di una struttura gerarchica che contiene varie
altre CA con relazioni padre–figlio chiaramente definite tra loro. Le CA figlio o subordinate sono certificate
Version latest
6Autorità di certificazione privata di AWS
Certificate Manager Guida per l'utente
Secure Sockets Layer (SSL)
dalle CA padre, creando così una catena di certificati. La CA al livello più alto della gerarchia è detta CA
root e il suo certificato viene denominato certificato root. Questo certificato generalmente è autofirmato.
Secure Sockets Layer (SSL)
Secure Sockets Layer (SSL) e Transport Layer Security (TLS) sono protocolli di crittografia che
garantiscono la sicurezza delle comunicazioni su una rete di computer. TLS è il successore di SSL.
Entrambi utilizzano i certificati X.509 per autenticare il server ed entrambi i protocolli negoziano una chiave
simmetrica per crittografare i dati che passano tra client e server.
HTTPS sicuro
HTTPS sta per HTTP su SSL/TLS, un formato sicuro di HTTP che è supportato da tutti i principali browser
e server. Tutte le richieste e risposte HTTP sono crittografate prima che vengano inviate attraverso una
rete. HTTPS combina il protocollo HTTP con tecniche di crittografia simmetrica, asimmetrica e basata su
certificati X.509. HTTPS funziona inserendo un livello di sicurezza crittografico sotto il livello di applicazione
HTTP e sopra il livello di trasporto TCP nel modello OSI (Open Systems Interconnection). Il livello di
protezione usa il protocollo Secure Sockets Layer (SSL) o il protocollo Transport Layer Security (TLS).
Certificati del server SSL
Le transazioni HTTPS richiedono certificati del server per autenticare un server. Un certificato del server
è una struttura di dati X.509 v3 che associa la chiave pubblica nel certificato all'oggetto del certificato.
Un certificato SSL/TLS viene firmato da un'autorità di certificazione (CA) e contiene il nome del server, il
periodo di validità, la chiave pubblica, l'algoritmo di firma e altri elementi.
Transport Layer Security (TLS)
Per informazioni, consulta Secure Sockets Layer (SSL) (p. 7).
Attendibilità
Per poter considerare attendibile l'identità di un sito Web, un browser Web deve essere in grado di
verificare il certificato di tale sito. I browser, tuttavia, considerano attendibili solo un ristretto numero di
certificati noti come certificati root CA. Una terza parte attendibile, nota come autorità di certificazione
(CA), convalida l'identità del sito Web ed emette un certificato digitale firmato all'operatore del sito Web. Il
browser può quindi verificare la firma digitale per convalidare l'identità del sito Web. Se la convalida riesce,
verrà visualizzata un'icona a forma di lucchetto nella barra degli indirizzi.
Nome distinto X.500
I nomi distinti (DN) X.500 vengono utilizzati per identificare utenti, computer, applicazioni, servizi, server e
altri dispositivi nei certificati a chiave pubblica X.509 creati da ACM PCA. Ciò include i certificati privati e i
certificati CA privati. I campi comuni comprendono i seguenti:
• organizationName (O) – Nome dell'organizzazione che ha emesso o che è l'oggetto di un certificato
• organiztionUnit (OU) – Reparto o divisione all'interno di un'organizzazione
• country (C) – Codice paese di due lettere
• stateName (S) – Nome di uno stato o di una provincia, ad esempio Washington
• localityName (L) – Nome di una località, ad esempio Seattle
• commonName (CN) – Nome comune dell'oggetto o dell'emittente del certificato
Version latest
7Autorità di certificazione privata di AWS
Certificate Manager Guida per l'utente
Regioni
Regioni
Come la maggior parte delle risorse AWS, le autorità di certificazione (CA) sono risorse regionali. Per
utilizzare CA private in più di una regione, è necessario creare le CA in quelle regioni. Non è possibile
copiare CA private tra regioni. Vedi l'argomento relativo a endpoint e regioni AWS nella AWS General
Reference oppure la tabella delle regioni AWS per informazioni sulla disponibilità delle regioni per ACM
PCA.
Note
ACM è al momento disponibile in alcune regioni dove non è disponibile ACM PCA.
Servizi integrati con AWS Certificate Manager
Private Certificate Authority
Se utilizzi ACM per richiedere un certificato privato, puoi associare il certificato con tutti i servizi che sono
integrati con ACM, ad eccezione di AWS CloudFormation. Per ulteriori informazioni, consulta la sezione
relativa a Servizi integrati. Se utilizzi l'API ACM PCA o AWS CLI per emettere un certificato o se esporti un
certificato privato da ACM, puoi installare il certificato ovunque.
Limiti di
Questa sezione specifica i limiti che interessano AWS Certificate Manager Private Certificate Authority.
Argomenti
• Limiti per i certificati (p. 8)
• Limite frequenza API (p. 9)
Limiti per i certificati
I seguenti limiti per i certificati ACM PCA si applicano a ciascuna regione e a ciascun account. Per
richiedere limiti più elevati, immetti una richiesta al Centro AWS Support. I nuovi account AWS potrebbero
iniziare con limiti inferiori a quelli qui indicati.
Elemento Limite predefinito
Numero di autorità di certificazione private (CA) 10
Numero di certificati privati per CA privata 50,000
Note
Una CA privata eliminata verrà conteggiata ai fini del limite per i certificati fino alla fine del periodo
di ripristino. Per ulteriori informazioni consulta Eliminare il CA privato.
ACM PCA è integrato con ACM. È possibile utilizzare la console ACM, AWS CLI; o l'API ACM per
richiedere certificati privati tramite un'autorità di certificazione (CA) privata esistente. I certificati sono gestiti
da ACM e presentano le stesse limitazioni dei certificati pubblici emessi da ACM. Per un elenco delle
limitazioni, consulta la sezione relativa alla richiesta di un certificato privato. Puoi anche emettere certificati
privati con l'API ACM PCA o AWS CLI. Per ulteriori informazioni, consulta Emissione di un certificato
Version latest
8Autorità di certificazione privata di AWS
Certificate Manager Guida per l'utente
Limite frequenza API
privato (p. 27). Indipendentemente dal metodo utilizzato, puoi creare 10 CA private e 50.000 certificati
privati per ognuno. ACM stabilisce limiti sui certificati pubblici e importati. Per ulteriori informazioni, consulta
la sezione relativa ai limiti ACM.
Limite frequenza API
I seguenti limiti si applicano all'API ACM PCA per ogni regione e account. ACM PCA limita le richieste API
a diversi livelli a seconda dell'operazione API. Limitare significa che ACM PCA rifiuta una richiesta valida
perché la richiesta supera il limite dell'operazione stabilito di richieste al secondo. Quando una richiesta è
soggetta a limitazione, ACM PCA restituisce un errore di ThrottlingException. La tabella seguente
elenca ciascuna operazione API e il punto in cui ACM PCA limita le richieste per tale operazione.
Limite di richieste al secondo per ciascuna operazione API ACM PCA
Operazione API Richieste al secondo
CreateCertificateAuthority 1
CreateCertificateAuthorityAuditReport 1
DeleteCertificateAuthority 10
DescribeCertificateAuthority 20
DescribeCertificateAuthorityAuditReport 20
GetCertificate 20
GetCertificateAuthorityCertificate 20
GetCertificateAuthorityCsr 10
ImportCertificateAuthorityCertificate 10
IssueCertificate 5
ListCertificateAuthorities 20
ListTags 20
RestoreCertificateAuthority 20
RevokeCertificate 20
TagCertificateAuthority 10
UntagCertificateAuthority 10
UpdateCertificateAuthority 10
Note
Al momento ACM PCA non supporta l'aumento del limite di frequenza API per cliente.
Sicurezza dell'autorità di certificazione privata
Le chiavi private per le CA private sono archiviate nei moduli di sicurezza hardware (HSM) gestiti da
AWS. Questi sono conformi agli standard di sicurezza FIPS 140-2 di livello 3. Puoi controllare l'accesso
Version latest
9Autorità di certificazione privata di AWS
Certificate Manager Guida per l'utente
Best Practice
alle CA impostando le policy AWS Identity and Access Management (IAM) su utenti, gruppi e ruoli
nell'organizzazione.
La CA privata può creare automaticamente gli elenchi di revoche di certificati (CRL). Le applicazioni client
possono eseguire query su CRL per determinare se un certificato è stato revocato. È possibile generare i
report di audit che elencano i certificati emessi e revocati dalla CA privata. Puoi attivare CloudTrail per la
registrazione dell'accesso AWS e ACM PCA.
Per ulteriori informazioni sulle caratteristiche di AWS e ACM PCA che puoi utilizzare per proteggere la CA
privata, consulta i seguenti argomenti:
• Creazione di un elenco di revoche di certificati (CRL) (p. 25)
• Creazione di un report di audit per la CA privata (p. 36)
• Creazione di un amministratore IAM (p. 12)
• Autenticazione e accesso (p. 82)
Best Practice
Le best practice sono raccomandazioni che possono aiutare a utilizzare AWS Certificate Manager
Private Certificate Authority (ACM PCA) in modo più efficiente. Le seguenti best practice sono basate
sull'esperienza pratica dei clienti ACM attuali.
Argomenti
• Attivare AWS CloudTrail (p. 10)
• Aggiornamento della chiave privata CA (p. 10)
• Eliminazione di una CA (p. 10)
Attivare AWS CloudTrail
Attivare il logging CloudTrail prima di creare e iniziare a utilizzare una CA privata. Con CloudTrail è
possibile recuperare una cronologia delle chiamate API AWS per l'account per monitorare le distribuzioni
AWS. Questa cronologia include chiamate API effettuate dalla Console di gestione AWS, dagli SDK AWS,
dall'AWS Command Line Interface e dai servizi AWS di livello superiore. È anche possibile identificare
quali utenti e account hanno richiamato le operazioni API PCA, l'indirizzo IP di origine da cui sono state
effettuate le chiamate e quando sono avvenute. È possibile integrare CloudTrail in applicazioni che
utilizzano l'API, automatizzare la creazione di trail per l'organizzazione, controllare lo stato dei trail e
monitorare il modo in cui gli amministratori attivano e disattivano la registrazione di CloudTrail. Per ulteriori
informazioni, consultare l'articolo relativo alla Creazione di un trail. Vai a Utilizzo di CloudTrail (p. 40) per
visualizzare i trail di esempio per le operazioni ACM PCA.
Aggiornamento della chiave privata CA
È una best practice aggiornare periodicamente la chiave privata della CA privata. Questa operazione
offre meno tempo a un utente malintenzionato per decifrare la chiave e utilizzarla qualora fosse già stata
compromessa. Non è possibile aggiornare una chiave importando un nuovo certificato CA. È necessario
sostituire la CA privata con una nuova CA. Si consiglia di seguire il processo descritto in Eliminazione di
una CA privata (p. 33).
Eliminazione di una CA
È possibile eliminare definitivamente una CA privata. Questa operazione può essere eseguita se la CA
non è più necessaria o se si desidera sostituirla con una CA che dispone di una chiave privata più recente.
Version latest
10Autorità di certificazione privata di AWS
Certificate Manager Guida per l'utente
Parametri CloudWatch
Per eliminare correttamente una CA, si consiglia di seguire il processo descritto in Eliminazione di una CA
privata (p. 33).
Parametri CloudWatch supportati
Amazon CloudWatch è un servizio di monitoraggio per le risorse AWS. Puoi utilizzare CloudWatch per
raccogliere e monitorare parametri, impostare allarmi e reagire automaticamente alle modifiche nelle
risorse AWS. ACM PCA supporta i parametri CloudWatch seguenti.
Parametro Descrizione
CRLGenerated È stato generato un elenco di revoche di certificati
(CRL). Questo parametro si applica solo a una CA
privata.
MisconfiguredCRLBucket Il bucket S3 specificato per il CRL non è
configurato correttamente. Controllare la policy del
bucket. Questo parametro si applica solo a una CA
privata.
Time L'ora in cui è stato emesso il certificato. Questo
parametro si applica solo all'operazione
IssueCertificate.
Success Specifica se un certificato è stato emesso in
modo corretto. Questo parametro si applica solo
all'operazione IssueCertificate.
Failure Indica che un'operazione non è riuscita.
Questo parametro si applica solo all'operazione
IssueCertificate.
Per ulteriori informazioni sui parametri CloudWatch, consultare i seguenti argomenti:
• Utilizzo dei parametri Amazon CloudWatch
• Creazione di allarmi Amazon CloudWatch
Prezzi
Ti vengono addebitati i costi dei certificati privati per i quali hai accesso alla chiave privata. Sono inclusi
i certificati che esporti da ACM e quelli che crei dall'API ACM PCA o dall'interfaccia a riga di comando
ACM PCA. Non è previsto alcun addebito per un certificato privato dopo che è stato eliminato (p. 33).
Tuttavia, se ripristini (p. 35) una CA privata, ti verrà addebitata per l'intervallo di tempo compreso tra
l'eliminazione e il ripristino. I certificati privati per i quali non hai accesso alla chiave privata sono gratuiti.
Sono inclusi i certificati utilizzati con Servizi integrati quali Elastic Load Balancing, CloudFront e Gateway
API. Per le informazioni più aggiornate sui prezzi di ACM PCA, consulta la pagina dei prezzi di ACM sul sito
Web di AWS.
Version latest
11Autorità di certificazione privata di AWS
Certificate Manager Guida per l'utente
Installazione di CLI (Opzionale)
Configurazione
Prima di utilizzare AWS Certificate Manager Private Certificate Authority, è necessario disporre di
un'autorità di certificazione (CA) disponibile a firmare il certificato CA privato. Questa può essere una CA
commerciale o una da configurare ed eseguire in locale. Le best practice includono inoltre la creazione
di un gruppo amministrativo IAM e uno o più amministratori all'interno di tale gruppo per eseguire le CA
private. In alternativa, puoi installare AWS CLI se desideri interagire con ACM PCA e ACM dalla riga di
comando.
Argomenti
• Installazione della AWS Command Line Interface (Opzionale) (p. 12)
• Creazione di un amministratore IAM (p. 12)
• Configurazione di un'autorità di certificazione (p. 15)
Installazione della AWS Command Line Interface
(Opzionale)
Se non hai installato AWS CLI, ma desideri utilizzarlo, segui le istruzioni in AWS Command Line Interface.
Se si utilizza il sistema operativo Windows, è possibile scaricare ed eseguire il programma di installazione a
64 bit o a 32 bit di Windows. Se si utilizza Linux o macOS, è possibile installare la AWS CLI usando pip.
Se AWS CLI è già installato, controlla il numero di versione digitando aws --version in una finestra di
comando o nella riga di comando. Confronta il numero di versione con quella più recente disponibile su
GitHub. Se la versione è precedente, aggiornare la CLI.
Sulla riga di comando digitare aws configure. È necessario l'ID chiave di accesso e la chiave di accesso
segreta per completare la procedura seguente. Per ulteriori informazioni, consulta la sezione relativa alle
chiavi di accesso.
• Digitare l'ID chiave di accesso quando richiesto.
• Digitare la chiave di accesso segreta.
• Scegliere la regione predefinita. Per un elenco delle regioni disponibili, consultare Regioni (p. 8).
• Accettare json come formato di output predefinito.
Digita aws acm-pca sulla riga di comando seguito dal comando ACM PCA che desideri eseguire. Ad
esempio, se si desidera elencare tutte le autorità di certificazione privata, digitare il comando seguente.
aws acm-pca list-certificate-authorities --max-results 10
Creazione di un amministratore IAM
Come best practice, non utilizzare l'utente root dell'account AWS per interagire con AWS, incluso ACM
PCA. Usa piuttosto AWS Identity and Access Management (IAM) per creare un utente IAM, un ruolo IAM o
un utente federato. Creare un gruppo di amministratori e aggiungersi a tale gruppo, quindi accedere come
amministratore. Aggiungere altri utenti al gruppo, se necessario.
Version latest
12Autorità di certificazione privata di AWS
Certificate Manager Guida per l'utente
Registrazione ad AWS
Un'altra best practice consiste nel creare una policy gestita dal cliente da assegnare agli utenti. Gli utenti
possono eseguire solo le operazioni ACM PCA consentite dalla policy.
Argomenti
• Registrazione ad AWS (p. 13)
• Creazione di un amministratore (p. 13)
• Creazione di una policy gestita dal cliente (p. 14)
Registrazione ad AWS
Se non sei già cliente di Amazon Web Services (AWS), devi registrarti per poter utilizzare ACM PCA. Il
tuo account viene automaticamente registrato per tutti i servizi disponibili, ma ti verranno addebitati solo i
servizi utilizzati. Inoltre, se si è un nuovo cliente di AWS, alcuni servizi sono disponibili gratuitamente per un
periodo limitato. Per ulteriori informazioni, consulta Piano gratuito AWS.
Note
ACM PCA non è disponibile nel piano gratuito.
Per registrarti per ottenere un account AWS
1. Vai su https://aws.amazon.com/ e scegli Sign Up (Registrazione).
2. Seguire le istruzioni a video.
Note
Parte della procedura di registrazione include la ricezione di una telefonata e l'inserimento del PIN
fornito sulla tastiera del telefono. È inoltre necessario fornire un numero di carta di credito.
Creazione di un amministratore
Puoi utilizzare la console IAM per creare utenti e gruppi con le autorizzazioni di cui hanno bisogno per
utilizzare ACM PCA.
Per creare un utente IAM per te e aggiungere l'utente a un gruppo di amministratori
1. Utilizza l'indirizzo e-mail e la password del tuo account AWS per accedere come Utente root
dell'account AWS alla console IAM su https://console.aws.amazon.com/iam/.
Note
È fortemente consigliato rispettare la best practice di utilizzare l'utente Administrator IAM
di seguito e conservare in un luogo sicuro le credenziali dell'utente root. Accedi come utente
root solo per eseguire alcune attività di gestione dell'account e del servizio.
2. Nel riquadro di navigazione della console seleziona Users (Utenti), quindi Add user (Aggiungi utente).
3. Per User Name (Nome utente), digitare Administrator.
4. Selezionare la casella di controllo accanto a Console di gestione AWS access (accesso), selezionare
Custom password (Password personalizzata), quindi digitare la password del nuovo utente nella
casella di testo. Puoi anche scegliere di selezionare Require password reset (Richiedi reimpostazione
password) per forzare l'utente a creare una nuova password al suo successivo accesso.
5. Scegliere Next: Permissions (Successivo: Autorizzazioni).
6. Nella pagina Set permissions (Imposta autorizzazioni per utente), selezionare Add user to group
(Aggiungi l'utente al gruppo).
Version latest
13Puoi anche leggere
